Toon posts:

VPN toegang beperken tot specifieke poort

Pagina: 1
Acties:

  • marcobroeder
  • Registratie: Juni 2011
  • Laatst online: 17-04-2012
Het bedrijf waar ik werk maakt gebruik van een lokale small business server 2003 en een extern gehoste windows server 2008 r2. Nu is er een applicatie (Document Management Systeem) geïnstalleerd op de externe server, waarvan ik de gebruikersaccounts wil gelijktrekken met de Active Directory op de lokale server. Om de Active Directory uit te lezen, heb ik een VPN verbinding tot stand gebracht tussen de twee servers en dat werkt prima.

Nu vraag ik me af of het mogelijk is om de VPN verbinding toegang te beperken tot de benodigde poort voor het uitlezen van de Active Directory (port 389). Ik heb een aparte gebruikersaccount aangemaakt voor de VPN verbinding en ik heb gevonden dat ik op de server RAS regels kan instellen voor die gebruikersaccount. Ik ben daar ook iets van filters tegengekomen waar ik portnummers kan opgeven, maar dat kreeg ik niet werkend. Zie screenshot.

Is het überhaupt mogelijk wat ik wil en zo ja, hoe kan ik dit realiseren? Of is deze veiligheidsmaatregel overbodig?

Bij voorbaat dank.

Marco

  • mbaltus
  • Registratie: Augustus 2004
  • Nu online
ja, dat is mogelijk.


Tenminste afhankelijk van welke apparatuur de VPN verbinding verzorgd. Ik stel dit soort dingen wel eens in met Cisco ASA's en daar kun je prima aangeven welke poorten voor een L2L-vpn beschikbaar zijn. Desgewenst zou je ook met de software firewall van Windows nog iets kunnen tweaken, maar kan me voorstellen dat je het liever op de VPN gateway doet.

The trouble with doing something right the first time is that nobody appreciates how difficult it is


  • Oid
  • Registratie: November 2002
  • Niet online
is via de firewall geen optie?

ik zelf doe LDAPS en dan de firewall laat alleen mijn server in DC toe. LDAPS is SSL dus de verbinding is zo en zo geëncrypt

Anoniem: 151099

Ja, elke VPN applicance heeft wel de mogelijkheid om ACL in te stellen. anders stel je dit ergens op de 1e router in.

permit tcp/389 <source:vpn-subnet> <dest:any>
deny ip any any

Acties:
  • 0Henk 'm!

  • marcobroeder
  • Registratie: Juni 2011
  • Laatst online: 17-04-2012
Bedankt voor alle reacties, ik ga eens de mogelijkheden bekijken zowel in de hardware als in de firewall.


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee